28
Forum ICT Security Sandro Fontana, CISSP CEO Secure Edge [email protected] [email protected] Roma 4 Novembre 2003

The Missing Link

Embed Size (px)

DESCRIPTION

non basta più difenderci dgli attacchi esterni; la grande minaccia proviene dai nostri sistemi

Citation preview

Page 1: The Missing Link

Forum ICT Security

Sandro Fontana, CISSP

CEO Secure Edge

[email protected]@computer.org

Roma 4 Novembre 2003

Page 2: The Missing Link

Premessa

Page 3: The Missing Link

Ich Sunt Leones/1

Page 4: The Missing Link

Ich Sunt Leones/2

Internet

Router(multiport/

multiprotocol)

Dial inServers

TELCO

PartnerOffices

FrameRelay

Network

Remote router

Laptop PCsRemote Router

Remote Hub

UNIX Server

NFS GatewayNovel

File Server

Hub

CentralRouter

(multiport/multiprotocol

Hub

Hub

GroupwareServerOffices

Hub

PCs

Hub

Hub

PCs

Windows NTServer

GroupwareServerOffices

PCs

PCs

PCs

Windows NTServer

PCs

Email/SharedFile Server PCs

Firewall / AV / Proxy

Firewall / RAS / AV / Proxy

Page 5: The Missing Link

Ich Sunt Leones/3

Internet

Router(multiport/

multiprotocol)

Dial inServers

TELCO

PartnerOffices

FrameRelay

Network

Remote router

Laptop PCsRemote Router

Remote Hub

UNIX Server

NFS GatewayNovel

File Server

Hub

CentralRouter

(multiport/multiprotocol

Hub

Hub

GroupwareServerOffices

Hub

PCs

Hub

Hub

PCs

Windows NTServer

GroupwareServerOffices

PCs

PCs

PCs

Windows NTServer

PCs

Email/SharedFile Server PCs

Firewall / AV / Proxy

Firewall / RAS / AV / Proxy

Page 6: The Missing Link

the speed of insecurity/1

“security works in an era of (computer) wormsthat can spread across the Internet

in 10 minutes”(Bruce Schneier - IEEE S&P, July/August 2003)

Page 7: The Missing Link

the speed of insecurity/2

Page 8: The Missing Link

change viewpoint

non si tratta più soltantodi difendere i computer presenti nella rete aziendale

da attacchi provenienti dall’esterno

Page 9: The Missing Link

change viewpoint

non si tratta più soltantodi difendere i computer presenti nella rete aziendale

da attacchi provenienti dall’esterno

bisogna inoltre

difendere l’Enterprise Network da eventuali attacchi provenienti dalle stazioni di lavoro e dai server interni.

Page 10: The Missing Link

the missing link

Nuova responsabilità:proteggere l’Intranet

dagli attacchi provenienti da computerattestati all’interno della stessa rete aziendale(*)

(Chief Security Officer)

Irrobustire

Identificare

Controllare

Contrastare Rilevare

(*) (garantendo l’attuale flessibilità)

Page 11: The Missing Link

Mai dimenticare che …

“la sicurezza è un processo,non è un prodotto”

(Bruce Schneier)

Page 12: The Missing Link

Goals

ogni server deve poter qualificare la fonte del traffico di rete in ingresso

Request Verification

Worm confinement

CentralManagement

un Client od un Server, anche se compromesso, non deve divenire la fonte di ulteriore infezione all’interno dell’Azienda;

la gestione delle contromisure deve essere centralizzata

Page 13: The Missing Link

Una proposta

Essential Point

• Policy

• Requirements

• Management

• Tools

Secure Edge vede un percorso progettualeinserito all’interno del sistema di gestione della sicurezza

ad es. l’ISMS della ISO/IEC 17799

Page 14: The Missing Link

PolicyPer potere accedere alla intranet ed alle sue risorse ogni macchina, sia Clientche Server ed ogni Utente, deve essere autorizzato

NetAccess

Verification il parco dei Client e Server installato ed attivo, deve essere tenuto sotto controllo, senza necessità di gestione IP address e/o ethernet address

ogni utente deve essere identificato ed autenticato con meccanismo forte

Effective RT-IDS Ogni violazione alle regole precedenti deve poter essere rilevata in tempo reale

IdentificationAuthentication

Page 15: The Missing Link

Requirements

Accesso alla intranet controllato tramite:Identificazione certa dei Client e Server connessiAutenticazione forte degli utentifirewall distribuito

Profilo di accesso specializzato per ruolo

Network Single SignOn®

Consolidamento centralizzato dei log

Audit in tempo reale sugli eventi rilevanti

Page 16: The Missing Link
Page 17: The Missing Link

Management

Operation Manager controlla in tempo reale, lo stato delle singole macchine e dei singoli utentiattiva e gestisce gli alert, analizza i log provenienti dal parco macchine interno

Policy Manager il responsabile della definizione dei profili e delle regole che devono essere applicate ai gruppi di macchine (client e server) ed ai ruoli aziendali (users)

Page 18: The Missing Link

Tools

Secure Edge

PcP Enterprise Edition

Page 19: The Missing Link

Gli strumenti/1

è il cuore informativo del sistema;raccoglie tutti i dati dell’ambiente PcP Enterprise Edition :

– licenze Client e Server– ruoli aziendali– profili utenti– certificati di chiave pubblica di tutti gli attori

coinvolti– regole di firewalling– log globali di tutte le macchine controllate– heart_beat in tempo reale

PcP-EE_DB(RDBMS)

Page 20: The Missing Link

Gli strumenti/2

permette al Policy Manager la definizione di:– gruppi di macchine: Client/Server– ruoli aziendali– profili– regole di firewalling

Policy Management Tool(software client)

Lavora in localecon aggiornamento del PcP-EE_DB on demand

Page 21: The Missing Link

Gli strumenti/3

Monitor Console

E’ l’interfaccia web al PcP-EE_ DB chepermette all’Operation Manager:

• l’interrogazione, l’elaborazione e la presentazionedelle informazioni generate dai software PcP-EE in esercizio

su tutte le macchine Client/Server Windows all’interno dell’Azienda;• la configurabilità e la gestione di allarmi

• la memorizzazione di query ricorrenti

Page 22: The Missing Link

Gli strumenti/4

– autenticare le licenze PcP-EE ed i singoli Users;– distribuire le Policy per i Server ed i Client oltre

che le policy specifiche per lo User;– acquisire i log dalle varie stazioni ed i pacchetti

informativi (heart beat) relativi al traffico di rete dei singoli sistemi

– aggiornare PcP-EE_ DB centrale

Policy Serverè un servizio presente su uno o più sistemi all’interno dell’azienda

permette di:

Page 23: The Missing Link

Distribuited Security Agent

questo software assolve una serie di compiti

é presente su ogni client ed ogni server aziendalecon sistema operativo Microsoft

Gli Strumenti/5

Page 24: The Missing Link

PcP-EE: duty/1

ogni macchina viene associata ad una licenza PcP-EE

un utente che voglia lavorare su una macchinaviene prima identificato ed autorizzato,

quindi le regole di firewalling ed il profilo di protezione associato al ruolo che l’utente, in quel momento, incarna in azienda

sono calate sulla macchina su cui opera

ad ogni macchina vengono assegnate specifiche regole di firewalling

ed il profilo di protezione del gruppo a cui la macchina appartiene

Page 25: The Missing Link

PcP-EE: duty/2

il traffico di rete viene bloccato/abilitato,così come viene indicato dalle regole di firewalling

dichiara la propria esistenza in vitatramite pacchetti statistici

che fungono da HeartBeat per PcP-EE stesso

viene generato il log relativo al matching delle regole di firewalling,se questa funzione è richiesta per queste regole

Page 26: The Missing Link

Riepilogo

Policy ServerPolicy Server

PcP-EE_DB

OperationManager

Policy Manager

Policy Server

Policy Server

Page 27: The Missing Link

per concludere …

“la sicurezza è un processo,non è un prodotto”

(Bruce Schneier)

Page 28: The Missing Link

Exit